Platnost certifikátu uzlu clusteru CloudLink vypršela.
Shrnutí: Tento článek vysvětluje, jak obnovit certifikát uzlu clusteru, když CloudLink zobrazuje výstrahu "Platnost certifikátu uzlu clusteru vypršela".
Příznaky
CloudLink zobrazuje alarm:
Cluster node certificate is expired.
Příčina
Když vyprší platnost certifikátů uzlu clusteru, může to způsobit, že cluster nebude synchronizován. V systémovém clusteru CloudLink webUI >>zkontrolujte, zda je stav synchronizace vypnutý. Existuje také potenciální problém se zabezpečením související s vypršením platnosti certifikátu.
Řešení
CloudLink 8.1 a vyšší:
Od verze CloudLink 8.1 můžete obnovit SVMCLUSTER CA a cluster node certifikátů z webového uživatelského rozhraní CloudLink. Před změnou certifikátů pořiďte snapshoty a zálohy všech uzlů CloudLink.
Přejděte do nabídky SYSTEM >> Backup Generate New Backup a poté na možnost Actions > Download Backup. Také se ujistěte, že uživatel může najít svůj záložní klíč CloudLink (cckey.pem)
Před restartováním virtuálních počítačů CloudLink přejděte do části SYSTEM > Vault a ověřte, zda je režim odemknutí trezoru nastaven na hodnotu Auto. Pokud je režim odemknutí nastaven na možnost Ručně, je nutné ověřit, zda uživatel zná přístupová hesla k trezoru, nebo dočasně změnit režim na Automaticky.
NEMĚŇTE SVMCLUSTER CA Když cluster není synchronizovaný!
To vytváří nekonzistenci, kdy každý uzel CloudLink má jiný SVMCLUSTER CA A je obtížné cluster znovu synchronizovat.
Pokud cluster není synchronizovaný, je nutné obnovit certifikáty uzlů clusteru na každém uzlu CloudLinknode. Přejděte do části SYSTEM > Cluster Actions >> Change Server Certificate. Proveďte to pro všechny uzly CloudLink a poté restartujte všechny uzly CloudLink (ne současně). Tím by se měl cluster znovu synchronizovat a stav synchronizace by měl být OK.
Pokud se cluster delší dobu nesynchronizuje, může dokončení opětovné synchronizace chvíli trvat. Zkontrolujte uzly v SYSTEM > Clusteru a ujistěte se, že nevidíte žádné Awaiting Outgoing Batches. Dokončení procesu může trvat několik hodin.
Jakmile se cluster znovu synchronizuje, můžete změnit nastavení SVMCLUSTER CA. Přejděte do části SYSTEM > Cluster Actions >> Change CA Certificate. Tím se automaticky obnoví cluster node certifikáty, které znovu vyžadují restartování jednotlivých uzlů CloudLink (ne současně).
CloudLink 7.x:
V systému CloudLink 7.x nelze obnovit SVMCLUSTER CA nebo cluster node Certifikáty. Nahrát lze pouze soubor PEM podepsaný certifikační autoritou.
Tady jsou pokyny k použití OpenSSL k vygenerování certifikátu podepsaného svým držitelem, který má nahradit CloudLink 7.x. SVMCLUSTER CA a cluster node Certifikáty:
- Použijte libovolný server Linux (ne CloudLink) a spuštěním následujícího příkazu potvrďte instalaci OpenSSL.
openssl version - Vytvořte soubor s názvem
template.cfgspuštěním příkazuvi template.cfga vložte informace do pole níže. - Modré položky upravte a nahraďte relevantními informacemi.
[req] default_bits = 2048 distinguished_name = req_distinguished_name req_extensions = v3_req [req_distinguished_name] C =Country(2 letter code) ST =State L =Locality(city) O =Organization OU =OrgUnit CN =CommonName C_default =US ST_default =utah L_default =salt lake city O_default =dell OU_default =dell CN_default =SVMCLUSTER CA [ v3_req ] subjectAltName = @alt_names keyUsage = critical, digitalSignature, keyCertSign, cRLSign extendedKeyUsage = serverAuth, clientAuth basicConstraints = critical, CA:true, pathlen:1 subjectKeyIdentifier=hash [alt_names] DNS.1 = SVMCLUSTER CA
- Spusťte příkaz:
openssl req -newkey 2048 -keyout svmcluster.key -config template.cfg -x509 -days 730 -out svmcluster.crt -extensions v3_req -nodes
svmcluster.crt a svmcluster.key . Tyto soubory nahrajete do uživatelského rozhraní CloudLink v nabídce >System Cluster Actions>>, Upload CA Signed PEM>, Third Party PEM. Tyto soubory také uložte a uložte na bezpečném místě. Nastavuje -days to 730 což je 2 roky, ale můžete upravit podle potřeby.
- Restartujte webové služby CloudLink nebo restartujte všechny uzly CloudLink (NE současně).